3つの観点から選ぶ！ワンタイムパスワード

　まず、ワンタイムパスワードがどのような機器で構成されるか、具体例を見てみよう。図1は時刻同期方式をとる場合の構成例、図2はマトリクス認証を行う場合の構成例だ。

　RSAセキュリティの場合、「プライマリ」と「レプリカ」の1組のライセンス体系と、1レルムあたり「プライマリ」1台、「レプリカ」最大10台のライセンス体系があり、規模によって使い分けができる。レルムとは、認証サーバがもつデータベースやユーザ情報などを指し、拠点ごとに別々のレルムを構築して連携できるので、拡張性が高い。これらサーバ以外に、ユーザ個々にハードウェアトークンまたはソフトウェアトークンが必要となる。

　基本的には図1と同様の構成をとるが、SSL-VPNなどのリモートアクセスでの認証、社内アプリケーションの認証（リバースプロキシとして動作）、Webアプリケーションでの認証がメインとなっている。ユーザ側にはブラウザがあればよいため、トークン配布などの手間はいらない。

　どちらの場合も、導入時に既存アプリケーションの認証部分の大きな改変をともなうことはなく、例えばシングルサインオン製品導入の場合のように、システム変更が大きな負担になることはない。
　ただし、拡張性のためにどのようなサーバ構成をとるのか、またライセンス体系がどうなっているのかは、どの製品を選ぶ場合でも必ず確認しておくべきだ。
　なお、認証部分がダウンすると業務に大きな支障が生じるため、サーバのクラスタリングや、負荷分散のための冗長化が容易にできるかどうかも同時にチェックしておきたい。

　導入の際には、サーバライセンスやアプライアンス台数の必要数を割り出す必要がある。リモートアクセス用途だけに使うのか、Webアプリケーションや社内アプリケーションにも利用するのかにより構成が変わるので、SIerやベンダと相談しながら適切に設計を行う必要がある。
　またトークンを使う場合には、どれだけの数を用意するかを決めなければならない。ソフトウェアトークンの場合はある程度柔軟に運用できるが、ハードウェアトークンの場合、ユーザが紛失した時には代替品をすぐに渡す必要がある。そのためには「予備のトークン」を用意しておくべきだ。その割合は実際の利用数のおよそ3〜5％程度を見積もるケースが多いという。
　ハードウェアトークン方式が一番初期投資が大きく、ソフトウェアトークンは比較的小さくて済む。どちらの場合も有効期限が2〜5年の間で決まっており、やがては更改の時期を迎え、追加費用がかかることになる。マトリクス認証はトークンレス方式なので、その面では費用がかからない。
　そうはいっても、ワンタイムパスワードの方式を選ぶ決め手が初期投資コストというケースはあまり多くない。比較的初期投資が少ない方式の製品が、少なくとも現時点までは市場で優位に立っていないのだ。むしろ、以下で触れる運用管理の工数や、使用目的による向き/不向きが大きな要素となっていると思われる。

　ワンタイムパスワードを導入する際には、少なくとも操作法についてユーザの十分な理解が必要であり、初期の教育コストはどの方式でも必ずかかる。その後の運用上で起きるトークンの紛失や、PINコード忘れ、マトリクス認証のパターン忘れ、非常時のアクセス拒否など、さまざまなトラブルに即時に対応するには、トークンの予備を確保しておくなどのほか、運用管理ツールの操作性も大事な要素になるだろう。もちろん、導入時の登録作業などでも、負荷が低いほうが望ましいのは言うまでもない。
　各社の運用管理ツールは、徐々にブラウザベースで操作できるタイプにシフトしてきている。扱いやすい操作性と、自社に必要な機能があるかどうかはチェックしておくとよい。また、導入時の登録作業やトークンの使用停止、追加などの操作に関しては実機デモで確認するなどして、業務負荷を事前に検討しておくことも必要だろう。

…この記事の続きは、会員限定です。 　会員登録はこちら(無料)

会員限定の「ワンタイムパスワード/3つの観点から選ぶ！ワンタイムパスワード」(全文)では、「ワンタイムパスワード」の選び方や主要製品一覧を掲載しています。会員登録を行い、ログインすると記事の続き(以下の内容)がご覧いただけます。

【1】ワンタイムパスワード選択のポイント

　1-1　導入コストと運用管理コストの考え方

　1-2　導入の目的に合わせた製品の選び方

　1-3　他の認証方式との違い

【2】ワンタイムパスワード製品カタログ

　・RSA SecurID

　・MITS OTP

　・ActiveCard

　　・・・など主要製品の一覧を掲載しています。

会員になると「ワンタイムパスワード 」導入をサポートする、価格情報や比較表作成機能などがご利用いただけます。